הרשות להגנת הפרטיות מצאה ליקויים בתחום פעילותה ב-43 מבין 44 מועדוני הלקוחות שבדקה - מוסרת הרשות (יום ד', 8.1.20). מדובר במועדונים בהם 100,000 חברים ומעלה. הרשות אינה מוסרת את שמות המועדונים בהם מדובר, להם הורתה לתקן את הליקויים.
הרשות מצאה רמת עמידה נמוכה בהוראות חוק הגנת הפרטיות בנוגע להסתייעות בשירותי מיקור חוץ לשם ביצוע פעולות לעיבוד מידע אישי הכולל פרטי קשר, מידע דמוגרפי, קשרים משפחתיים, מידע על-אודות הרגלי צריכה או התנהגות, השתייכות דתית ועוד. רוב מועדוני הלקוחות לא פעלו בהתאם לחוק בנוגע למינוי מנהלי מאגרים. רוב המועדונים אינם מקפידים ליידע את הלקוחות על האופן שבו נאסף המידע על-אודותיהם ובדבר זכויותיהם מכוח חוק הגנת הפרטיות, כמו למשל החובה להציג את מקור המידע, הזכות לעיין במידע והזכות להימחק ממאגר המידע.
הליקוי המרכזי הוא כאמור בנושא מיקור החוץ. 30 מהמועדונים עומדים בהוראות החוק ברמה נמוכה ועוד שישה - ברמה בינונית.
חלק מהמועדונים לא נקטו מראש צעדים מספקים על-מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה בזכותם לפרטיות של נושאי המידע, הנובע משימוש במיקור חוץ. מועדונים אלו אינם מבצעים בצורה מספקת התקשרות לפי הוראות התקנות, לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות פיקוח כנדרש.
בתחום הבקרה הארגונית והממשל התאגידי, נמצאה בשני שלישים מן המועדונים רמת עמידה נמוכה-בינונית בהוראות החוק. בין היתר, בחלקם נמצאו תפקידים ותחומי אחריות שהיו מרוכזים אצל גורם יחיד, באופן אשר עלול להוות
ניגוד עניינים, בניגוד לדרישות תקנות הגנת הפרטיות. גופים המהווים נציגות או סניפים של גופים בינלאומיים המנהלים מועדוני לקוחות, הסתמכו על נהלי הישות הבינלאומית בנוגע לסוגיות הפרטיות ואבטחת המידע, ולא הטמיעו את דרישות החוק הישראלי.
הרשות מצאה ליקויים משמעותיים בניהול מאגרי המידע ב-18 מהמועדונים, ובעיקר בנוגע להגדרת מאגר המידע ומטרותיו. כמו-כן, נמצאו ליקויים ביישום הוראות החוק בנוגע לשקיפות בדבר מקור הסמכות לאיסוף המידע האישי ויידוע האנשים עליהם מוחזק המידע, בדבר זכויותיהם ומאגר המידע בו רשומים בעת פנייה בדיוור ישיר.
ב-22 מהמועדונים נמצאו ליקויים באופן יישום הוראות תקנות הגנת הפרטיות, כולל בניהול הרשאות הגישה למאגרים: העדר תהליכים נאותים לניהול ההרשאות, והעדר יישום הפרדת תפקידים ויישום מתן ההרשאה לפי עקרון הצורך לדעת בלבד (בעל הרשאה המורשה לכך בלבד, לפי רשימת ההרשאות התקפות). בנוסף לכך, נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים: העדר הגבלות על שימוש באמצעים אלו או העדר הצפנה נאותה.
